Sobre a função FTPES (FTPS)

A função FTPS suporta vários algoritmos de encriptação para garantir uma transferência segura de ficheiros. São suportados vários algoritmos de encriptação, alguns dos quais podem não estar em conformidade com as atuais melhores práticas de segurança, para compatibilidade com uma vasta gama de servidores.

Algoritmos de encriptação suportados pela função FTPS

São suportados os seguintes algoritmos de encriptação.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Algoritmos de encriptação recomendados

Os seguintes algoritmos de encriptação são recomendados com base nas recomendações NIST (NIST SP 800-57 Parte 1 Revisão 5) e normas de segurança relacionadas.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Sobre os algoritmos descontinuados

A função FTPS também suporta os seguintes algoritmos para compatibilidade, mas são descontinuados com base nas recomendações NIST (NIST SP 800-57 Parte 1 Revisão 5) e normas de segurança relacionadas e pode ser removida numa versão futura.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Sobre a compatibilidade da ligação

A função FTPS foi criada com um equilíbrio entre a segurança e a compatibilidade. De momento, os algoritmos descontinuados são suportados pelos seguintes motivos, mas podem ser removidos numa versão futura para melhorar a segurança.

  • Os fotógrafos e videógrafos independentes necessitam de ligar a servidores em execução em vários clientes.
  • A compatibilidade com sistemas e servidores mais antigos necessita de ser mantida.
  • Nem todos os utilizadores estão preparados para mudar para uma definição mais segura porque é complicado alterar as definições do algoritmo de encriptação no lado do servidor.
  • As definições de FTPS são frequentemente partilhadas com outros serviços seguros. Quaisquer alterações têm de ser consideradas com cuidado uma vez que podem ter impacto noutros serviços no servidor.
  • Tem de ser suportada uma vasta gama de algoritmos de encriptação para garantir interoperabilidade em diferentes ambientes.

O algoritmo de encriptação utilizado durante uma ligação FTPS é determinado pela negociação automática com o servidor de destino e, por isso, depende das definições do servidor. Embora ciente dos riscos de segurança, é dada prioridade à compatibilidade para corresponder às diversas necessidades dos utilizadores.

Riscos de segurança

Utilizar algoritmos descontinuados, incluindo CBC/DHE/RSA/SHA-1, aumenta o risco de os dados encriptados poderem ser desencriptados ou modificados por um pirata informático, expondo os dados durante a transferência.

Recomendação para ligação segura

Antes de utilizar a função FTPS, certifique-se de que o servidor de destino da ligação suporta o algoritmo de encriptação recomendado. Ative apenas os algoritmos recomendados no lado do servidor e desative os algoritmos descontinuados.

Carregar através de FTP seguro

Pode carregar ficheiros com encriptação através de FTPS no modo Explícito (FTPES) para a ligação ao servidor de ficheiros de destino.

Para uma transferência FTP seguro, defina [Using Secure Protocol] para [On] nas definições do servidor de destino da transferência de ficheiros e importe um certificado.

Referências

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (inclui atualizações a partir de 10/06/2016).

Certificado

Guarde o certificado utilizado pela função FTPES (FTPS) no diretório raiz de um cartão de memória. Defina o nome do ficheiro da seguinte forma.

certification.pem (formato PEM)
O tamanho máximo do certificado que pode ser carregado é 1 MB por certificado.

TP1002274475